« Vissza

Mi az a DNSSEC?

Domain

A DNS-ről
Ahhoz, hogy megértsük a DNSSEC-et, (Domain Name System Security Extension) tisztában kell lennünk azzal, hogy hogyan működik maga a DNS (Domain Name System) rendszer.

A DNS önmagában annyit tesz, hogy lefordítja a weboldalak domain nevét numerikus kóddá, amely adatokat aztán a számítógépek hatékonyan olvasnak és feldolgoznak. (Például: 104.16.99.56) Ez lesz gyakorlatilag a weboldal IP címe. Minden IP címhez tartozik egy domain név, ezért a DNS rendszert gyakran nevezik az internet telefonkönyvének is. Ezeket az adatokat domainnév-szervereken tárolják, ahol a domain név IP címmé fordítása (és vica versa) ugyancsak megtörténik.

Amikor a DNS először megjelent, nem minden működött a legnagyobb rendben és hamar kiütköztek a gyengepontjai. És itt jön képbe a DNSSEC: ahhoz, hogy a hibákat kiküszöböljék, egy biztonsági rendszert kezdtek fejleszteni, amelyet kiegészítőként a DNS rendszerekhez lehet csatolni.

Hogyan is működik a DNSSEC?

A DNSSEC alapvető célja a DNS-ben lévő adatok integritásának és autentikusságának biztosítása. Ez azt jelenti, hogy védi az internetes klienseket a hamisított DNS adatoktól azáltal, hogy átvizsgál és megerősít egy úgynevezett digitális, DNS-be ágyazott „kézjegyet”.

A DNSSEC így biztosítja, hogy a felhasználó valóban azzal az oldallal lépjen kapcsolatba, amelyikkel szeretett volna.

A DNSSEC egy úgynevezett nyilvános kulcs rendszert alkalmaz, hogy felülvizsgálja az adatokat úgy, hogy a már meglévő DNS rekordokhoz további rekordokat csatol. Ezek az új rekordok végzik a domain digitális aláírását.

Az így aláírt névkiszolgáló már rendelkezik nyilvános és privát kulccsal is. Ha valaki be kíván lépni, privát kulcsokon keresztül küld információkat, amit a címzett a nyilvános kulccsal aztán felold. Ha harmadik személytől származó adat érkezik be, ami nem egyezik a nyilvános kulccsal, a címzett azt nem oldja fel.

A DNSSEC által használt kulcsok

A DNSKEY-ben található kulcsokat két különböző célra használják:

  • Key Signing Key (KSK-kulcs aláíró kulcs) feladata a zóna aláíró kulcsok aláírása
  • Zone Signing Key, (ZSK-zóna aláíró kulcs) ezzel az egyes rekordokat írják alá

A DS (Delegation Signer) rekord áttekintése

A DS rekord a nyilvános kulcs egy egyedi szálát tartalmazza, valamint metaadatokat a kulcsról, például azt, hogy milyen algoritmusokat használ. Nézzünk egy példát:
valami.com 4200 IN 2472 13 2 16e637262zt822dafs828737sjjd2671jsym6172…

Most bontsuk külön komponensekre a DS rekordot, és vizsgáljuk meg, mit tartalmaz egy-egy rész!

  • Valami.com – ez maga a domain név
  • 4200 – (TTl: Time To Live) azaz a rekord élettartama
  • IN – magára az internetre utal
  • 2472 – Key Tag (azaz kulcscímke) a kulcs azonosítója
  • 13 – Az algoritmus típusa
  • 2 – A kivonat típusa
  • A hosszú sor a cím végén pedig a nyilvános kulcs kivonata

Szeretne domaint regisztrálni?

A Rackhostnál mindezt gyorsan és egyszerűen megteheti.

Megnézem

Kapcsolódó cikkek